sandbox на iframe: встраивание карт и виджетов
Минимальные разрешения для чужого HTML.
`<iframe sandbox="allow-scripts allow-same-origin" src="...">` ограничивает встроенный контент — карта, калькулятор, виджет бронирования.
Без `allow-top-navigation` iframe не уведёт пользователя с вашего домена.
- sandbox — MDN — Флаги sandbox.
- Iframe sandbox — web.dev — Модель угроз.
Производительность
Добавьте `loading="lazy"` на iframe ниже fold — отложенная загрузка тяжёлого виджета.